Protection juridique du logiciel : condamnation pour contrefaçon des codes sources

 

Le logiciel est considéré comme une oeuvre de l’esprit, et à ce titre est protégé par le droit de la propriété intellectuelle. (1)

Une société, son fondateur et des salariés, reconnus coupables de contrefaçon des codes sources d’un logiciel appartenant à un concurrent, viennent d’être condamnés au versement de près de trois millions d’euros de dommages et intérêts au titulaire des droits. (2)

L’intérêt de ce jugement repose d’une part sur les éléments permettant de qualifier le caractère original du logiciel, pour déterminer s’il pouvait bénéficier de la protection par le droit d’auteur, auquel cas, la copie non autorisée des codes sources relève de la contrefaçon ; d’autre part, sur les éléments retenus pour l’évaluation du préjudice subi et la détermination par les juges de l’indemnisation du titulaire.

1. Les faits

La société Generix, est titulaire des droits sur le logiciel applicatif GCS WMS, utilisé pour la gestion des entrepôts, notamment pour la grande distribution. Ce logiciel avait été développé par Infolog Solutions, société absorbée par Generix en 2010. Le logiciel GCS WMS a été développé à partir d’un programme générateur de codes sources dénommé APX, mis au point par Generix et non commercialisé.

En 2011, le responsable support de la société Infolog Solutions a quitté cette société pour créer la société ACSEP, ayant pour activité la fourniture de prestations similaires à celles de Generix. D’anciens salariés d’Infolog Solutions et de Generix ont par ailleurs rejoint la société ACSEP.

Entre 2014 et 2016, plusieurs clients de la société Generix ont résilié leurs contrats pour les transférer chez ACSEP. En outre, Generix a appris que la société ACSEP était en possession des codes source du logiciel GCS WMS. Par deux ordonnances sur requête du 5 février et du 24 mars 2015, à la demande de la société Generix, le président du tribunal de grande instance d’Aix-en-Provence a autorisé un huissier à se rendre dans les locaux d’ACSEP, afin de constater notamment qu’ACSEP détenait les codes source du logiciel GCS WMS.

Le 2 mars 2016, la société Generix a fait assigner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions. Generix demandait au tribunal de condamner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions à lui payer 4.000.000€ au titre du préjudice matériel lié à la détention et l’utilisation non autorisées des codes sources du logiciel, 300.000€ au titre de la réparation du préjudice moral subi suite à la contrefaçon du logiciel, 50.000€ au titre du préjudice économique résultant des actes de concurrence déloyale et parasitaire du fait de l’utilisation de sa marque Infolog, de sa dénomination sociale et de sa marque Generix et de ses supports et plans de formations.

Le tribunal judiciaire de Marseille a rendu sa décision le 23 septembre 2021 et a condamné la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions au paiement de près de 3.000.000€ pour contrefaçon de codes sources du logiciel GCS WMS.


2. La protection du logiciel par le droit d’auteur

    2.1 Protection du logiciel et droit d’exploitation 

Dans cette affaire, le tribunal rappelle que le logiciel, comprenant le code source et le code objet, ainsi que le matériel de conception préparatoire, est protégé par le droit d’auteur en application de l’article L.112-2 13° du code de la propriété intellectuelle (CPI). A ce titre, “le droit d’exploitation appartenant à l’auteur d’un logiciel comprend le droit d’effectuer et d’autoriser 1° la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme. (…) ces actes ne sont possibles qu’avec l’autorisation de l’auteur.” (art. L.122-6 CPI)

La société Generix, devenue titulaire des droits sur le logiciel après avoir absorbé la société Infolog Solutions, avait déposé deux versions du logiciel auprès de l’Agence pour la protection des programmes (APP) en 2006 et 2010.

    2.2 L’originalité du logiciel, condition de sa protection par le droit d’auteur

Toutefois, comme pour toute oeuvre de l’esprit, cette protection du logiciel par le droit d’auteur n’est accordée que pour autant que celui-ci soit reconnu original.

A cette fin, le tribunal rappelle les principales caractéristiques du logiciel GCS WMS qui avaient été mises en avant par Generix pour démontrer son originalité, à savoir : 1) des choix personnels quant à la structure du “scénario radio”, 2) un choix propre quant aux réservations de stocks, 3) le choix d’une forte interopérabilité du logiciel par l’utilisation d’un format d’échanges de données unique et original, 4) l’utilisation du langage de développement Cobol afin de permettre la portabilité du logiciel sur un grand nombre de machines, 5) le développement d’un atelier de génie logiciel en interne, 6) un choix technique personnel quant aux interfaces homme/machine, et 7) le choix d’une mise en oeuvre simplifiée du logiciel, ne nécessitant pas de compétences techniques ou informatiques et pouvant être réalisées par un consultant.

Sur la base de tous ces éléments, le tribunal a pu reconnaître l’originalité du logiciel alors même que celui-ci avait été développé grâce à un programme générateur de codes sources. La société Generix était donc bien fondée pour défendre ses droits sur le logiciel.


3. Les faits de contrefaçon et l’évaluation du préjudice

    3.1 L’établissement des faits de contrefaçon

Dans cette affaire, la contrefaçon a été démontrée sur la base de deux éléments : a) la production d’emails échangés entre les salariés de la société ACSEP, relatifs à la demande et à la communication des codes sources de programmes constitutifs du logiciel GCS WMS. On notera sur ce point que le tribunal n’a pas remis en cause l’intégrité de ces emails, obtenus par voie d’huissier ; et b) un rapport d’analyse technique démontrant que les logiciels détenus par la société ACSEP étaient identiques, à 2% près, aux programmes déposés par Generix à l’APP.

Or, il n’existait aucun accord entre les sociétés Generix et ACSEP, autorisant cette dernière à reproduire ou à utiliser tout ou partie du logiciel.

Le tribunal en conclut que ces simples faits de reproduction non autorisée des codes sources de programmes constitutifs du logiciel GCS WMS constituent des actes de contrefaçon de la part de la société ACSEP, son dirigeant et les salariés poursuivis.

    3.2 L’évaluation du préjudice et les mesures de réparation

Les règles permettant de déterminer le montant des dommages et intérêts sont définies aux articles L.331-1-3 et s. du CPI. Pour ce faire, les juges prennent en compte :
“1° Les conséquences économiques négatives de l’atteinte aux droits, dont le manque à gagner et la perte subis par la partie lésée ;
2° Le préjudice moral causé à cette dernière ;
3° Et les bénéfices réalisés par l’auteur de l’atteinte aux droits, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte aux droits.”

En l’espèce, le tribunal a évalué le préjudice subi par la société Generix en retenant i) une perte de chiffre d’affaires à la suite de la résiliation de plusieurs contrats commerciaux, évaluée à 2 millions d’euros, ii) le remboursement du montant représentant la valorisation de la recherche et développement du logiciel pour 814.000€, la contrefaçon ayant permis d’économiser les coûts de création et de développement d’un logiciel équivalent, et iii) le préjudice moral, constitué par la dévalorisation du savoir-faire de Generix, pour un montant de 50.000€.

La société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions ont été condamnés en sus à cesser l’utilisation et à la désinstallation du logiciel, et à indemniser Generix pour concurrence déloyale à hauteur de 30.000€ pour débauchage de plusieurs salariés de Generix.


       Cette affaire démontre que la contrefaçon de logiciel, notamment par d’anciens salariés, accompagnée d’actions de concurrence déloyale par détournement de clientèle et débauchage de salariés peut coûter cher à leurs auteurs. Le titulaire des droits doit cependant être en mesure de démontrer le caractère original de l’oeuvre contrefaite et de rapporter la preuve du détournement, ainsi que du préjudice subi (perte de clientèle, vol de savoir-faire, débauchage massif, etc.). Toutefois, la réparation du préjudice est un processus long et coûteux, le dossier contentieux ayant débuté en 2015…

* * * * * * * * * * *

(1) Art. L.112-2 CPI

(2) TJ Marseille, 23 septembre 2021, Generix c. Acsep et autres

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021

La fusion entre le CSA et la Hadopi donne naissance à l’Arcom

Selon la Hadopi, la hausse de la consommation de biens culturels dématérialisés s’est accélérée en 2020. Cette accélération a été favorisée par la crise sanitaire et la période de confinement qui ont entraîné la fermeture des lieux culturels (cinémas, théâtres, salles de spectacles). Constat positif mais également négatif puisqu’un quart des internautes français visiterait chaque mois des sites illicites de biens culturels. (1) Face à ce constat, le bilan de la Hadopi relatif à la lutte contre le piratage en ligne des oeuvres audiovisuelles est plus que mitigé, mais reflète cependant les limites de son champ d’action.

Une réforme était donc nécessaire pour tenter de lutter plus efficacement, et plus rapidement, contre les usages illicites sur internet. Celle-ci passe par la réforme, plus large, de l’audiovisuel qui se met enfin en place avec l’adoption, le 25 octobre 2021, de la loi relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique. (2) Cette réforme, annoncée depuis deux ans, consacre la création de l’Autorité de régulation de la communication audiovisuelle et numérique - Arcom, une nouvelle autorité administrative, née de la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (Hadopi). L’Arcom entrera en activité au 1er janvier 2022.

Cette nouvelle autorité interviendra sur un champ de compétences élargi, avec des agents disposant de pouvoirs d’investigation pour des actions de lutte, on l’espère, plus efficaces contre les sites illicites.


1. Un champ des compétences élargi

L’Arcom disposera d’un champ de compétences élargi par rapport aux missions combinées du CSA et de la Hadopi, consacrant enfin la convergence des technologies de communication avec l’interaction grandissante entre l’audiovisuel traditionnel et internet.

En effet, les compétences attribuées à l’Arcom couvrent les domaines allant de la création des oeuvres jusqu’à la protection du droit d’auteur. Les activités de l’Arcom s’articuleront ainsi autour de plusieurs axes, avec notamment un premier axe sur la lutte contre le piratage des oeuvres protégées, un deuxième axe sur une mission pédagogique et de régulation, et un troisième axe de régulation du secteur audiovisuel.

    1.1 La focalisation sur la lutte contre le piratage des oeuvres protégées

Le premier axe, concernant principalement la communication en ligne portera sur les actions suivantes (3) :

    - La lutte contre le piratage des oeuvres protégées par le droit d’auteur, un droit voisin ou un droit d’exploitation audiovisuelle. L’Arcom pourra ainsi créer une “liste noire” des sites exploitant, de façon massive, des contenus contrefaisant ;

    - La lutte contre les sites sportifs illicites. Considérant que l’accès aux chaînes de sports est généralement trop cher, nombre d’internautes choisissent de visionner les événements sportifs en ligne, sur des sites de streaming sportif illicites. Cette pratique a des conséquences économiques et financières très lourdes pour les diffuseurs et les clubs sportifs. Or, jusqu’ici il était très difficile pour les titulaires des droits de diffusion de lutter contre ces sites, notamment du fait des délais de procédure pour obtenir une décision de blocage. La loi d’octobre 2021 tente de remédier à ce problème en créant une procédure spécifique de référé pouvant être intentée par les titulaires de droits de diffusion d’événements sportifs contre les sites illicites et les sites miroirs ;

    - La lutte contre la désinformation sur internet (lutte contre les “fake news” en application de la loi du 22 décembre 2018) (4) et contre les contenus haineux ;

    - La régulation des plateformes de vidéo par abonnement (SVoD).

    1.2 Une mission pédagogique

A l’instar des actions menées par la CNIL depuis plusieurs années, la loi du 25 octobre 2021 inscrit, parmi les missions de l’Arcom, des actions pédagogiques et de régulation par la création de “soft law”, comprenant :

    - Des actions de sensibilisation et de prévention, notamment auprès des jeunes. Concernant la protection des mineurs, ces actions de prévention concernent non seulement les contenus piratés, mais également les contenus illicites, violents, haineux, ou pornographiques ;

    - Une mission d’encouragement au développement de l’offre légale ;

    - Une mission de régulation et de veille relative aux mesures techniques de protection et d’identification des oeuvres et objets protégés par le droit d’auteur, avec la publication de recommandations, guides de bonne pratiques, modèles de clauses types et codes de conduite. Ces outils auront pour objet d’informer et de former le public.

    - L’Arcom pourra en outre favoriser la signature d’accords volontaires avec les professionnels pour les inciter à mettre en oeuvre des politiques de lutte contre le contrefaçon et le piratage plus efficaces.

    1.3 La régulation du secteur audiovisuel

Enfin, l’Arcom sera en charge de la régulation du secteur audiovisuel. Cette mission de régulation, héritée du CSA, comprend notamment la gestion des fréquences, les conditions de création de nouvelles chaînes de radio et de télévision et le suivi de leurs engagements, la garantie du respect de la liberté d’expression et des droits et libertés fondamentaux sur les chaînes de radio et de télévision, etc.

L’Arcom sera également en charge de garantir le pluralisme de l’offre dans le secteur audiovisuel et des sources d’information. Ce domaine est d’autant plus d’actualité avec, par exemple, le projet de fusion annoncé en mai 2021 entre les groupes TF1 et M6.


2. Des agents publics disposant de réels pouvoirs d’investigation

La direction de l’Arcom sera constituée de 9 membres, dont huit membres choisis en raison de leurs compétences économiques, juridiques ou techniques, nommés par décret, et le président de l’Autorité nommé par le Président de la République. Les membres sont nommés pour un mandat de 6 ans, non renouvelable. L’équilibre hommes/femmes doit être respecté au moment de leur nomination.

L’Arcom disposera par ailleurs d’un “bataillon” d’agents publics assermentés, habilités par décret. Dans le cadre de leurs investigations, les agents de l’Arcom pourront notamment :

    - recevoir des opérateurs de communications électroniques les coordonnées (identité, adresse postale, email, numéro de téléphone) des personnes dont l’accès aux services a été utilisé pour diffuser des oeuvres non autorisées ;

    - mais également constater les faits susceptibles de constituer les infractions lorsqu’ils sont commis en ligne, et “sans en être tenus pénalement responsables :
1° Participer sous un pseudonyme à des échanges électroniques susceptibles de se rapporter à ces infractions ;
2° Reproduire des œuvres ou des objets protégés sur les services de communication au public en ligne ;
3° Extraire, acquérir ou conserver par ce moyen des éléments de preuve sur ces services aux fins de la caractérisation des faits susceptibles de constituer des infractions ;
4° Acquérir et étudier les matériels et les logiciels propres à faciliter la commission d'actes de contrefaçon.” (5)
Toutefois, ces actes ne pourront inciter autrui à commettre une infraction. Les informations recueillies font l’objet d’un procès-verbal pouvant ensuite être utilisé en cas de poursuites judiciaires.


3. Des pouvoirs plus efficaces ?

Regroupant les domaines de la communication audiovisuelle et par internet, l’Arcom devrait pouvoir intervenir sur un champ de compétences élargi. En effet, la convergence des technologies de l’audiovisuel et de l’internet entraîne la disparition de la frontière entre ces deux domaines.

La division des compétences sur des agences séparées n’avait plus de sens. D’une part, le champ d’action de la Hadopi se limitait au téléchargement illicite d’oeuvres en peer-to-peer. Or, cette pratique ne concernerait plus que 25% de la consommation illicite de biens audiovisuels. Depuis plusieurs années la technologie et les pratiques des internautes ont en effet évolué pour accéder aux oeuvres en streaming ou via des sites ou serveurs temporaires ou miroirs. D’autre part, grâce à la technologie de diffusion des oeuvres audiovisuelles en ligne, le rôle du CSA s’est naturellement élargi au domaine de l’internet, avec la multiplication des web radio et web TV, la télévision connectée, les services audiovisuels à la demande (SMAD / SVoD), …

La création de l’Arcom consacre donc la fin d’une frontière devenue artificielle entre les différents modes de diffusion des oeuvres audiovisuelles. L’Arcom a ainsi pour objectif d’améliorer l’efficacité de la lutte contre les différentes formes de piratage audiovisuel : téléchargement en P-to-P, streaming, IPTV, lutte contre les sites sportifs illicites.


    L’Arcom a pour ambition de se positionner comme le moteur d’un nouveau modèle de régulation audiovisuelle, “à l’écoute des publics et de leurs préoccupations, (…) résolument engagée dans la défense des libertés d’expression, d’information et de création.” (6) Cette nouvelle autorité devra toutefois surmonter plusieurs défis : intégrer des personnels venant de deux mondes jusqu’ici distincts, le monde de l’audiovisuel, et le monde d’internet, et démontrer l’efficacité de ses actions, particulièrement dans la lutte contre le piratage.

* * * * * * * * * * *

(1) Etude Hadopi du 6 mai 2021 “12,7 millions d’internautes ont visité en moyenne chaque mois des sites illicites de biens culturels dématérialisés en 2020, soit 24 % des internautes français”

(2) Loi n°2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique, modifiant le code de la propriété intellectuelle et la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.

(3) Art. L.331-12 et s. du Code de la propriété intellectuelle

(4) Loi n°2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

(5) Art. L.331-14 du Code de la propriété intellectuelle

(6) Communiqué de presse conjoint du CSA et de la Hadopi sur la création de l’Arcom, 26 octobre 2021

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021

Sites pornographiques : le renforcement de la protection des mineurs

La problématique de l’accès des mineurs aux contenus pornographiques s’est accentuée ces dernières années avec notamment un accès à internet et l’utilisation des smartphones de plus en plus jeune. Une étude menée par l’Ifop en 2017 révèle ainsi que 82% des jeunes de moins de 18 ans déclarent avoir été exposés à du contenu pornographique, dont 30% des moins de 12 ans ! (1)

Face aux risques psychologiques et comportementaux que pose l’accès des enfants à des contenus pour adultes, le législateur tente de renforcer la réglementation sur les conditions d’accès aux sites pornographique, avec des obligations plus strictes de contrôle de l’âge des internautes.

Nous examinons ci-après les principales dispositions concernant les services en ligne et les mesures actuellement disponibles pour bloquer l’accès des mineurs aux sites pornographiques ainsi que les défis en matière de protection des données à caractère personnel et les solutions techniques disponibles.


1. La loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales et le décret d’application du 7 octobre 2021

    a) La protection des mineurs contre les contenus pornographiques en ligne et le pouvoir de régulation du CSA

L’une des missions du CSA (Conseil supérieur de l’audiovisuel) est la protection de la jeunesse et des mineurs. Le rôle du Conseil, en tant que régulateur dans ce domaine est affirmé avec l’article 23 de la loi du 30 juillet 2020, qui dispose que :

“Lorsqu'il constate qu'une personne dont l'activité est d'éditer un service de communication au public en ligne permet à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal, le président du Conseil supérieur de l'audiovisuel adresse à cette personne (…) une mise en demeure lui enjoignant de prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé. La personne destinataire de l'injonction dispose d'un délai de quinze jours pour présenter ses observations. (…)” (2)

Si le contenu incriminé reste accessible aux mineurs à l’expiration de ce délai, le président du CSA peut saisir le président du tribunal judiciaire de Paris aux fins d’ordonner aux fournisseurs d’accès le blocage de l’accès au site en cause. Le président du CSA peut agir d’office ou sur saisine du ministère public ou de toute personne ayant intérêt à agir, telles que les associations de protection de l’enfance.

Pour être pleinement applicables, ces dispositions devaient être complétées par un décret. C’est chose faite avec la publication, le 7 octobre 2021, du décret relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès aux sites pornographiques. (3)

Ce décret dispose notamment que pour apprécier si l’éditeur du site en cause permet à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, le président du CSA tient compte du niveau de fiabilité du procédé technique mis en place pour s’assurer que les utilisateurs souhaitant accéder au service sont majeurs (article 3).

A cette fin, le CSA peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques de blocage ou de filtration des utilisateurs.

Le décret précise que la suspension du site en cause pourra être réalisée par tout moyen approprié, notamment par le blocage par nom de domaine (DNS).

    b) L’avis de l’Arcep sur le projet de décret : attention à ne pas imposer de nouvelles obligations aux FAI

L’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) avait été saisie par le gouvernement pour avis sur le projet de décret.

Dans son avis, rendu le 11 mai 2021, l’Arcep notait que la technique de blocage DNS est déjà utilisée par les fournisseurs d’accès à internet pour bloquer des sites suite à une injonction des tribunaux (sites illicites, contrefaisants, etc.). (4)

Pour l’Arcep, les mesures de blocage doivent rester proportionnées. Or, le fait d’imposer aux FAI d’empêcher l’accès aux sites en cause “par tout moyen approprié” risque de faire peser sur les FAI une obligation allant au-delà des moyens de blocage habituels et la garantie que les internautes ne puissent recourir à des méthodes de contournement pour accéder aux sites concernés (VPN par exemple). Une telle obligation serait en contradiction avec l’article 6 7° de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) qui dispose que les FAI “ne sont pas soumis à une obligation générale de surveiller les informations qu’ils transmettent ou stockent (…).”

Par ailleurs, selon l’Arcep, le projet de décret ne précisait pas la nature des informations transmises par le CSA aux FAI (noms de domaine, adresses emails?), ni des modalités de mise en oeuvre des mesures de blocage (délai de mise en oeuvre, processus et délai de déblocage éventuel, etc.). Ces informations ne figurent toujours pas dans le décret du 7 octobre.


2. La loi du 21 avril 2021 visant à protéger les mineurs des crimes et délits sexuels et de l’inceste

L’article 23 de la loi du 30 juillet 2020 a été complétée par la loi du 21 avril 2021 visant à protéger les mineurs des crimes et délits sexuels et de l’inceste. Les articles de cette loi ont modifié le code pénal (articles 227-21-1 à 227-28-3).

Ces articles concernent les actes d’adultes envers des mineurs (favoriser ou tenter de favoriser la corruption d’un mineur ; faire des propositions sexuelles à un mineur ; inciter un mineur à commettre un acte de nature sexuelle), en utilisant un moyen de communication électronique. Les peines s’échelonnent entre deux ans et sept ans d’emprisonnement et de 30.000€ à 100.000€ d’amende, suivant le type d’infraction commise (art. 227-22 à 227-22-2).

L’article 227-23 du code pénal dispose que le fait de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque l’image ou la représentation présentent un caractère pornographique est puni de cinq ans d’emprisonnement et de 75.000€ d’amende. Les peines sont portées à sept ans d’emprisonnement et 100.000€ d’amende lorsqu’un réseau de communication électronique a été utilisé pour la diffusion de ces images.

Les peines sont généralement majorées lorsqu’il s’agit d’un jeune de moins de 15 ans.

Enfin, l’article 227-24, auquel il est fait référence à l’article 23 de la loi du 30 juillet 2020 et dans le décret du 7 octobre 2021, prévoit que le fait de diffuser (notamment) par quelque moyen que ce soit et quel qu’en soit le support un message à caractère (notamment) violent, pornographique ou de nature à porter gravement atteinte à la dignité humaine, ou encore de faire commerce d‘un tel message est puni de trois ans d’emprisonnement et de 75.000€ d’amende lorsque ce message est susceptible d’être vu par un mineur.

Les infractions sont constituées même si l’accès du mineur aux messages en cause résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans. Or de nombreux sites pornographiques sont d’accès libre ou n’affichent qu’un message demandant au visiteur de confirmer s’il est majeur.


3. Le défi de la mise en oeuvre de solutions efficaces de blocage de l’accès des mineurs aux sites pornographiques

L’objectif de la réglementation n’est évidemment pas la moralisation ou la censure d’internet, mais la mise en place de mesures effectives de protection des mineurs contre des contenus non adaptés à leur âge.

Ces dispositions renforcent désormais l’obligation, pour les sites pornographiques, de contrôler de façon effective l’âge des utilisateurs dès leur connexion, pour bloquer les mineurs. Or, le texte de loi ne donne pas d’indication technique aux sites pour se mettre en conformité. Comme mentionné plus haut, le CSA pourra adopter des lignes directrices relatives à la fiabilité des procédés techniques de blocage ou de filtration des utilisateurs.

La réglementation et les tribunaux prennent généralement en compte l’état de l’art, à savoir les solutions disponibles, à un moment donné, sachant que celles-ci devraient évoluer et être de plus en plus largement utilisées dans les années à venir.

L’obligation de filtrage des visiteurs s’impose aux éditeurs de sites pornographiques. Ceux-ci peuvent toutefois dans un premier temps rappeler l’utilité pour les parents d’installer une solution de contrôle parental sur les appareils utilisés par leurs enfants. Cette solution est cependant imparfaite puisque ce système n’empêche pas les enfants de consulter des sites pour adultes sur les appareils de tiers (famille, amis) qui n’auraient pas installé ce type de logiciel.

Concernant le blocage des mineurs, nous pouvons identifier les solutions suivantes, chacune ayant ses contraintes et ses limites :

    a) La demande de la date de naissance de l’utilisateur
Ce système, un peu plus bloquant que la simple déclaration de majorité, notamment chez les très jeunes, ne paraît pas assez efficace pour bloquer effectivement les mineurs, si elle n’est accompagnée d’aucun contrôle pour confirmer que la date de naissance de l’utilisateur est correcte.

L’article 227-24 al.3 prévoit que les infractions sont constituées même si le mineur a déclaré qu’il était âgé d’au moins 18 ans. Cette disposition pourrait être interprétée comme applicable tant à la simple confirmation du statut de majeur qu’à la saisie d’une fausse date de naissance par un mineur.

    b) La demande des coordonnées de carte bancaire
Une solution envisagée pour bloquer l’accès aux mineurs de manière plus efficace est de demander de saisir un numéro de carte bancaire lors de l’accès au site (sans débit, avec débit nominal afin de valider la carte, ou pour un accès payant au site). Même si certains jeunes de moins de 18 ans disposent d’une carte bancaire, et que d’autres pourraient utiliser la carte d’un adulte (sous réserve de connaître le code PIN de la carte …), ce système permet en principe de bloquer une plus grande partie des mineurs qui tentent d’accéder à un site pornographique.

    c) La demande de la copie d’une pièce d’identité
Enfin, il est possible de demander à chaque nouveau visiteur d’envoyer une copie de sa pièce d’identité à l’éditeur du site (ou à un service tiers), pour contrôler sa date de naissance.

Pour le moment, ce système semble le plus fiable mais est particulièrement contraignant : l’utilisateur doit scanner une pièce d’identité ; le contrôle doit être traité manuellement (il existe toutefois des services de contrôle numérique de pièces d’identité françaises) ; ce système aurait vraisemblablement un impact sur le nombre de visiteurs d’âge adulte. En cas d’utilisation d’un service tiers par l’éditeur du site, celui-ci n’aurait pas directement accès aux données personnelles du visiteur (hormis en cas d’inscription de l’utilisateur au site). Dans le cas contraire, il est recommandé de détruire la copie de la pièce d’identité dès le contrôle de la date de naissance réalisé.

    d) L’utilisation d’un service d’identité numérique
Les principales critiques relatives à la mise en place de solutions de blocage des mineurs concernent l’atteinte potentielle à la vie privée des utilisateurs, l’objectif étant de trouver l’équilibre entre un contrôle efficace de l’âge des visiteurs souhaitant accéder aux sites pornographiques et un système le moins invasif possible en matière de collecte de données personnelles, a priori sensibles (données relatives à l’orientation ou aux pratiques sexuelles).

Des services d’identité numérique proposés par des sociétés privées se développent, principalement pour sécuriser l’accès aux services en ligne, et garantir l’identité des individus en bout de chaîne (accès, signature, etc.).

On peut citer par exemple, Identité Numérique, service proposé par la société Docapost, filiale de La Poste. Ce service est utilisé notamment pour vérifier l’identité de l’utilisateur. Identité Numérique est principalement utilisé dans la banque (ouverture de compte, souscription de prêt, …) et dans le cadre d’achats immobiliers. Un autre exemple est My18Pass. Ce service se présente comme une solution de vérification simple et sécurisée de l’âge des utilisateurs.


4. La décision de rejet du blocage de sites pornographiques par le TJ de Paris

Dans un jugement du 8 octobre 2021, le tribunal judiciaire (TJ) de Paris a rejeté la demande de blocage de 9 sites pornographiques, intentée par les associations E-Enfance et La Voix de l’Enfant à l’encontre de 6 fournisseurs d’accès (dont Orange, SFR, Bouygues Telecom, et Free). (5)

En effet, ces sites n’avaient pas mis en place de solution de filtrage des utilisateurs, sachant que les mineurs pouvaient accéder aux contenus pornographiques soit directement, soit en confirmant simplement, sur la fenêtre s’affichant sur la page d’accueil des sites, qu’ils avaient plus de 18 ans.

La décision du tribunal de rejeter la demande des associations est fondée sur un problème procédural et non sur une question de fond.

En l’espèce, le tribunal a reconnu que l’accès des mineurs aux contenus de nature pornographique de ces sites constituait bien un trouble manifestement illicite, conformément à l’article 835 du code de procédure civile. Toutefois, en application des dispositions de l’article 6 de la LCEN, les demandeurs auraient dû contacter les éditeurs des sites hébergeant les contenus en cause avant de poursuivre les fournisseurs d’accès, d’autant que les coordonnées des éditeurs des sites étaient identifiées.

Il est vraisemblable que ces associations vont introduire une nouvelle action, soit par l’intermédiaire du CSA, soit en direct, à l’encontre de ces sites web, si ces derniers n’ont toujours pas mis en place de système de filtration des utilisateurs lors de l’accès à leurs sites.


       Ce phénomène, et les mesures de protection des mineurs, n’est évidemment pas limité à la France. Ainsi, en 2017, le Royaume-Uni a tenté d’imposer la vérification de l’âge des visiteurs de sites pornographiques accessibles sur son territoire. (6) Toutefois, face à l’impossibilité de trouver une mesure efficace et satisfaisante, cette mesure qui devait entrer en application en avril 2018, a finalement été abandonnée en octobre 2019. (7)

* * * * * * * * * * *

(1) Etude Ifop et Observatoire de la Parentalité et de l’Education Numérique, “Les adolescents et le porno : vers une “génération YouPorn” ?”, 15 mars 2017

(2) Loi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales

(3) Décret n°2021-1306 du 7 octobre 2021 relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique

(4) Avis n°2021-0898 de l’Arcep du 11 mai 2021 concernant le projet de décret relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès à un site diffusant un contenu pornographique

(5) Tribunal juridiciaire de Paris, 8 oct. 2021, associations E-Enfance et La Voix de l’Enfant c. Orange, SFR, et autres, n°RG 21/56149

(6) Digital Economy Act 2017 - Part 3

(7) BBC News, “UK’s controversial ‘Porn Blocker’ plan dropped”, 16/10/2019

Bénédicte DELEPORTE
Avocat

Octobre 2021

La Chine adopte sa loi sur la protection des données personnelles

Avec l’essor des services numériques, la protection des données personnelles est devenue un sujet phare du droit des personnes. Outre l’Union européenne, de plus en plus de pays à travers le monde ont adopté leur propre réglementation sur la protection des données personnelles, souvent inspirées des lignes directrices de l’OCDE sur la protection de la vie privée, voire de la réglementation européenne. Certains pays, tels que les Etats-Unis, ont opté pour une approche sectorielle de la protection des données avec par exemple des lois spécifiques aux services financiers, aux consommateurs, aux enfants, etc., alors que d’autres tels que le Canada, le Japon ou Singapour, ont opté pour une approche globale.

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Nous étudions ci-après les principales règles de la PIPL du point de vue des droits des personnes, puis des obligations des responsables de traitements, l’application territoriale de la loi et enfin, les sanctions applicables.


1. Les principales dispositions de la PIPL relatives aux  droits des personnes concernées

Les droits des personnes concernées, tels que définis dans la PIPL, sont généralement très similaires au RGPD, ainsi que les définitions de “données personnelles” et de “traitement de données personnelles” notamment.

    a) “Données personnelles” et “traitement de données personnelles” dans la PIPL
Les données personnelles sont définies comme tout type de données concernant des personnes identifiées ou identifiables, enregistrées de manière électronique ou autre. Les données anonymisées ne sont pas considérées comme des données personnelles.

Les traitements de données personnelles comprennent notamment les opérations de collecte, stockage, utilisation, transmission, suppression de données personnelles. Comme le RGPD, la PIPL impose que les traitements de données personnelles reposent sur les principes de licéité, loyauté, et transparence de la collecte (droit à l’information).

    b) Le consentement
Le consentement de la personne concernée constitue la base de la licéité d’un traitement de données personnelles. Il doit être informé, libre, et résulter d’un acte clair de la personne. Le consentement doit être révocable, sans remettre en cause le traitement réalisé jusqu’à la date de sa révocation.

Un consentement spécifique est requis dans les cas suivants : transfert de données par le responsable de traitement à un tiers, publication de données personnelles, collecte de données personnelles par des équipements de sécurité dans des espaces publics, traitement de données sensibles et transferts de données à l’international.

Les cas dans lesquels le consentement n’est pas requis sont limités : pour l’exécution d’un contrat avec la personne concernée, pour la gestion des ressources humaines conformément à la réglementation et aux conventions collectives, aux fins de conformité à la loi, pour répondre à des problèmes de santé publique et pour protéger la santé ou la vie de la personne, pour des reportages journalistiques “dans des limites raisonnables”, etc. On notera par ailleurs que la PIPL n’intègre pas la notion d’intérêt légitime.

    c) Les droits de la personne sur ses données
La personne concernée dispose de droits sur ses données similaires à ceux applicables en Europe, tels que les droits d’accès, de rectification et de suppression des données, ainsi que le droit de recevoir une copie des données collectées. Le droit à la portabilité est également prévu, sous réserve de précisions sur les modalités d’exercice de ce droit, devant être apportées par la CAC (Cyberspace Administration of China - l’autorité de contrôle équivalente de la CNIL).

    d) Les données sensibles
Une protection renforcée est prévue pour les données sensibles. La notion de “donnée sensible” couvre les données personnelles qui, en cas de divulgation non autorisée, porteraient atteinte à la dignité ou à la sécurité de la personne concernée ou de ses biens. Par exemple, les données biométriques, la religion, la santé, la situation financière, la géolocalisation ainsi que les données personnelles des enfants de moins de 14 ans sont considérées comme des données sensibles. Contrairement au RGPD, il ne s’agit pas d’une liste exhaustive.

Les données sensibles peuvent faire l’objet d’un traitement sous certaines conditions, telles que : la réalisation d’une analyse d’impact par le responsable du traitement préalablement à sa mise en oeuvre, une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées, l’information de la personne concernée sur la nécessité du traitement de données et ses conséquences, le consentement spécifique de la personne concernée.

    e) Les données des défunts
Enfin, contrairement au RGPD, la PIPL prend en compte la possibilité pour les proches d’une personne décédée de gérer ses données personnelles (accès aux données, mise à jour, suppression). La France prévoit cette possibilité avec la Loi pour une république numérique de 2016. (voir notre article sur ce sujet)

2. Les obligations des responsables du traitement

    a) La mise en oeuvre de la PIPL
Le responsable du traitement est responsable de la mise en oeuvre de la PIPL (identification des traitements de données, mise en place de procédures adaptées, assurer la sécurité des données, former les salariés, mener régulièrement des audits de conformité, etc.), et du respect des droits des personnes concernées. Les entreprises traitant de larges volumes de données personnelles devront désigner un délégué à la protection des données (DPO). Le seuil entraînant cette obligation doit encore être fixé.

    b) Les analyses d’impact
Le responsable du traitement doit réaliser une analyse d’impact avant la mise en oeuvre de certains types de traitements :
    - nouveau traitement de données sensibles,
    - traitement de données faisant l’objet d’une décision automatisée,
    - partage de données personnelles avec d’autres organismes ou divulgation publique de données,
    - transfert de données à l’international,
    - traitement ayant un impact significatif sur les droits des personnes.
Ces types de traitements doivent par ailleurs être réalisés pour une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées et du consentement spécifique de la personne concernée après avoir été informée sur la nécessité du traitement de données et ses conséquences.

    c) Les violations de données
Enfin, en cas de violation de données (fuites de données, intrusion frauduleuse dans le système informatique de l’opérateur, etc.), le responsable du traitement doit immédiatement prendre des mesures correctives et notifier la violation aux autorités et aux personnes concernées.


3. L’application territoriale de la PIPL

    a) La localisation des données personnelles de citoyens chinois
La loi sur la cybersécurité de 2017 imposait le stockage des données personnelles et des données “importantes” (à savoir les données sensibles, de sécurité nationale ou stratégiques) collectées par les opérateurs d’infrastructures d’information critiques, sur le territoire chinois. Toutefois, cette disposition était considérée comme trop imprécise. Une incertitude demeurait notamment pour les données des opérateurs de réseaux et des grandes entreprises du numérique.

La PIPL apporte des précisions sur l’obligation de localisation des données personnelles.

Les opérateurs d’infrastructures d’information critiques restent tenus de stocker les données personnelles sur le territoire chinois, sauf lorsqu’un transfert international est nécessaire, et sous réserve notamment du consentement spécifique de la personne concernée, d’avoir passé un test de sécurité des données organisé par la CAC, et de la signature de clauses contractuelles types entre l’organisme chinois et l’entreprise étrangère. Les conditions du test et les clauses contractuelles types doivent être publiées par la CAC.

    b) Les dispositions d’application extra territoriale
Comme le RGPD, la PIPL comporte des dispositions d’application extra territoriale.

La PIPL est en effet applicable notamment :
    - aux traitements réalisés en dehors de la Chine mais dont la finalité est de proposer des produits ou des services aux résidents situés en Chine, et
    - aux traitements dont la finalité est d’analyser et évaluer les activités des Chinois.

Les organismes réalisant ces types de traitements de données depuis l’étranger devront soit créer un bureau dédié en Chine, soit désigner un représentant en Chine pour s’assurer de l’application de la loi - obligation similaire au RGPD, qui prévoit la nomination d’un représentant dans l’UE.


4. Les sanctions prévues en cas de non-conformité à la PIPL

    a) Les sanctions
Deux types de sanctions sont prévus par la PIPL :
    - une amende maximum de 50 millions de RMB (environ 6,6 millions €) ou 5% des revenus de  l’année précédente, applicable à l’organisme fautif ;
    - une amende fixée entre 100.000 RMB (environ 13.000€) et 1 million de RMB (environ 130.000€), applicable aux personnes physiques responsables d’un manquement à la PIPL et l’interdiction de poursuivre leurs activités de directeur, superviseur, responsable ou DPO de l’organisme en cause.

    b) Le contrôle de la conformité
La conformité à la PIPL est assurée par la Cyberspace Administration of China (CAC), l’autorité de contrôle au niveau global, mais également par les ministères et services concernés du Conseil d’Etat et les services concernés des gouvernements locaux.

Il convient de noter que la PIPL n’est pas applicable aux services du gouvernement.


   La PIPL doit entrer en application le 1er novembre 2021 - laissant très peu de temps aux organismes concernés (les entreprises présentes sur le territoire chinois et les entreprises à l’international traitant des données personnelles de résidents chinois) pour se mettre en conformité. Après la phase de mise en conformité au RGPD en 2018-2019, les entreprises européennes présentes en Chine et celles traitant de données personnelles de résidents chinois doivent engager un projet similaire de mise en conformité à la PIPL, couvrant notamment des audits internes pour identifier les traitements éventuellement concernés par la loi, l’adaptation des politiques de protection des données personnelles et des procédures internes, le cas échéant, la nomination d’un représentant local.

Dans la mesure où certaines dispositions manquent encore de précision ou doivent être complétées, il sera nécessaire de suivre les conditions d’application et d’interprétation de la PIPL par les autorités chinoises concernées, dont la CAC.

* * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2021

Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne

 

Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. (1)


1. Les conséquences du Brexit sur les transferts de données entre l’UE et le Royaume-Uni

La décision du Royaume-Uni de sortir de l’Union européenne, entrée en application le 1er janvier 2021, a eu pour conséquence de considérer désormais le Royaume-Uni comme un pays tiers à l’Union. D’une manière générale, le Royaume-Uni n’est donc plus tenu de respecter les règlements européens - dont le RGPD, ni de transposer les futures directives européennes dans son droit interne.

En tant que pays tiers à l’UE (et à l’Espace économique européen), il devient donc en principe interdit de transférer des données à caractère personnel entre des organismes situés au sein de l’UE vers des organismes britanniques.

Toutefois, en application des articles 44 et s. du RGPD, les transferts de données vers des pays tiers à l’Union restent autorisés, sous réserve, soit :

- de la mise en place de clauses contractuelles types entre les organismes, responsable de traitement et sous-traitant,
- de la conclusion de clauses contractuelles “ad hoc” entre le responsable de traitement et le sous-traitant ; ces clauses devant comporter des “garanties appropriées” et assurer que les personnes concernées disposent de droits opposables et de voies de recours effectives,
- pour les sociétés multinationales, de l’adoption de règles d’entreprise contraignantes (“BCR”),
ou encore,
- que le pays tiers soit reconnu par la Commission européenne comme offrant un niveau de protection adéquat en matière de données personnelles.

Après plusieurs mois d’évaluation des règles relatives à la protection des données personnelles et institutions en place au Royaume-Uni, la Commission européenne a publié deux décisions d’adéquation le 28 juin 2021. Bien que l’on ait pu penser que cette décision serait intervenue plus rapidement, la réglementation en vigueur au Royaume-Uni étant conforme au RGPD au moins jusqu’à la date effective du Brexit, les institutions européennes (notamment le Parlement et le CEPD) craignaient que des divergences apparaissent dans l’application de la réglementation entre les Etats-membres et le Royaume-Uni.


2. Les conséquences des décisions d’adéquation sur les transferts de données entre l’UE et le Royaume-Uni

La Commission a reconnu que le Royaume-Uni avait entièrement intégré les principes, à savoir les droits et obligations, issus du RGPD après le Brexit et conclu que la réglementation britannique sur la protection des données continuait à être appliquée selon les mêmes principes applicables préalablement au Brexit.

La décision d’adéquation est capitale pour les relations économiques en assurant la liberté de circulation des données personnelles entre le continent et le Royaume-Uni. Elle permet notamment aux organismes qui étaient déjà en relation de poursuivre leurs activités sans interruption, et aux nouveaux contrats, d’être mis en place sans formalités supplémentaires pour gérer les transferts de données personnelles.

Une deuxième décision d’adéquation a été adoptée le même jour, dans le domaine des enquêtes et infractions pénales, aux fins de garantir la fluidité des échanges dans le cadre de la lutte contre la criminalité. Cette décision, prise en application de la directive du 27 avril 2016 reconnaît l’existence de mesures de sauvegarde fortes en matière d’accès aux données personnelles par les forces de l’ordre et le système judiciaire britanniques.

On notera que, pour la première fois, ces décisions d’adéquation ont été accordées pour une durée limitée de quatre ans. Selon une clause de “suppression automatique”, ces décisions doivent expirer au bout de cette période. Le renouvellement des décisions d’adéquation ne sera pas automatique. Le niveau de protection adéquat par le Royaume-Uni ne sera reconnu par la Commission que si le Royaume-Uni continue d’appliquer un niveau élevé de protection des données.

Enfin, ces décisions d’adéquation permettent au Royaume-Uni d’être en conformité avec l’Accord de commerce et de coopération (ACC) entre l’Union européenne et le Royaume-Uni, qui prévoir notamment le respect de normes élevées en matière de protection des données personnelles.


   A ce jour, seuls une dizaine de pays et territoires tiers ont été reconnus par la Commission européenne comme disposant d’une réglementation relative à la protection des données personnelles offrant un niveau de protection adéquat. Et seul le Japon avait obtenu ce “passeport” après l’entrée en application du RGPD, en janvier 2019. La République de Corée sera le prochain pays devant bénéficier d’une décision d’adéquation. Le projet de décision d’adéquation a en effet été transmis par la Commission au Comité européen de la protection des données (CEPD) courant juin dernier.

                                                     * * * * * * * * * * *

(1) Commission Implementing Decision of 28.06.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom ; Commission Implementing Decision of 28.06.2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2021

Formaliser son projet informatique pour limiter les contentieux

Trop de projets informatiques ignorent encore le formalisme de la contractualisation et de la documentation des différentes étapes du projet, qu’il s’agisse d’un projet de développement “classique” ou d’un projet de développement “agile”.

Deux récents jugements viennent ainsi rappeler que l’absence d’expression des besoins et l’absence de contestation des dysfonctionnements avant la réception du projet lèsent le client, malgré l’obligation de conseil incombant au prestataire.


1. L’absence d’expression des besoins par le client dans le cadre d’un projet agile

Dans une première affaire, jugée le 7 octobre 2020, la société Oopet, une startup dans le domaine des animaux de compagnie, avait commandé le développement de deux applications mobiles et d’un site web à la société Dual Media Communication, prestataire informatique. Le client a par la suite reproché au prestataire d’avoir notamment manqué à son obligation de conseil pour ne pas lui avoir recommandé de réaliser un cahier des charges, et d’avoir livré des prestations défectueuses. (1)

Le projet était mené selon la méthode agile. Plus pragmatique et évolutif qu’un développement selon les méthodes classiques en cascade ou en V, un projet agile suit une construction au fur et à mesure sur la base d’itérations, d’intégrations ou de tests en continu (suivant les méthodes agiles “scrum”, “extreme programming” ou “lean software development”).

Quelle que soit la méthode de développement utilisée, un projet agile repose sur une très forte implication des parties - prestataire et client, dans le suivi du projet, nécessitant de nombreux échanges entre les parties et la prise en compte des besoins du client par le prestataire tout au long de la phase de développement informatique.

En l’espèce, le client n’avait pas produit de cahier des charges. Les juges n’ont pourtant pas considéré que le prestataire avait manqué à son obligation de conseil et de mise en garde. Les juges ont en effet pris en compte les particularités d’un projet agile, en soulignant que les difficultés rencontrées pendant la phase de développement, notamment “les erreurs relevées, les réponses quelque fois tardives, la difficulté de s’accorder sur des prestations qui apparaissent entre les cocontractants, ne dérogent pas à la norme de ce type de construction en l’absence de cahier des charges et ne présentent pas de caractère anormal.”

Même s’il n’existe pas de cahier des charges exhaustif au commencement d’un projet agile, ce qui est l’essence même de la flexibilité requise, il est important que le client détaille a minima la finalité du projet et ses attentes (exigences formelles par exemple) afin que le prestataire comprenne ses besoins. Les juges rappellent ainsi que si l’obligation de conseil à la charge du prestataire dépend des besoins et objectifs du client, celui-ci doit les exprimer précisément. Cette obligation ne pourra être exécutée si le client ne fournit pas les informations nécessaires au prestataire afin de lui permettre de répondre au plus près aux besoins du client.

Bien qu’il existe peu de décisions judiciaires relatives à l’exécution de projets agiles - les litiges étant souvent résolus à l’amiable, l’un des problèmes récurrents de ces projets est une défaillance de formalisme : contrats mal rédigés ou inadaptés à ce type de prestation, absence de définition des besoins, coût du projet mal anticipé… Or, même si agilité rime avec souplesse et adaptabilité, les parties se doivent de prendre soin d’encadrer le projet en amont et de respecter les procédures prévues pour chaque phase afin d’éviter les contentieux en bout de course.


2. Les conséquences juridiques de la signature du procès-verbal de recette

L’absence de formalisme dans la relation contractuelle se constate également après la livraison de la prestation, qu’il s’agisse d’un projet développé selon une méthode classique ou agile.

Contrepartie de l’obligation de délivrance par le prestataire, l’obligation de réception incombe au client. Or, la mise en production d’un logiciel ou d’un site web par le client, sans avoir signé de procès-verbal de recette et sans avoir relevé de dysfonctionnements, équivaut à l’acceptation de la prestation.

La phase de réception doit permettre d’identifier par le biais de tests, les dysfonctionnements pouvant subsister dans le logiciel livré. La recette définitive actée emporte l’obligation pour le client de payer le solde de la prestation et, le cas échéant, le départ de la période de garantie contractuelle.

La mise en production ou la signature du procès-verbal de recette sans réserves met un terme au projet informatique. Sauf exception, le client ne peut alors plus contester la délivrance conforme du projet informatique.

Deux décisions récentes rappellent l’importance des phases de livraison et de recette d’un projet informatique.

Dans une affaire opposant la société My Taylor is Free, qui réalise et vend des costumes sur mesure et prêt à porter, à ses prestataires, le client avait conclu un contrat de développement de site e-commerce avec la société Antadis. Par ailleurs, en avril 2017, My Taylor is Free a accepté le devis proposé par la société Exalt3D pour une prestation de “scan, modélisation et texturage”. Plusieurs factures étant restées impayées à Exalt3D, celle-ci a assigné My Taylor is Free en paiement devant le tribunal de commerce d’Aix-en-Provence. (2)

Le tribunal a retenu que les devis ainsi que l’échéancier de paiement avaient été acceptés par My Taylor is Free. Selon les emails échangés entre les trois sociétés, il apparaît notamment que la société Antadis a bien livré le site internet et que celui-ci a été recetté. L’absence de courrier de réclamation à Antadis sur la livraison du site web indique que My Taylor is Free l’a accepté en l’état. De même, My Taylor is Free n’a émis aucune réclamation écrite à la société Exalt3D sur sa prestation. Le tribunal en conclut que les prestations ont été exécutées et livrées par les deux sociétés prestataires et que les factures doivent être réglées par My Taylor is Free.

Dans l’affaire, opposant Oopet à Dual Media Communication, la société Oopet avait signé le procès-verbal de recette sans réserves. Or, la signature du procès-verbal de recette n’est pas une simple formalité. Comme l’a rappelé le tribunal, “il était de la responsabilité de SAS Oopet de vérifier par test les concordances des fonctions des applications à ses attentes, donc que la signature de ces procès-verbaux de recette montre son acceptation en toute connaissance quand il écrit “le client Oopet reconnaît avoir conduit les vérifications nécessaires et estime le produit livré conforme au devis initial”.


    Il existe une abondante jurisprudence sur l’obligation de conseil et de mise en garde incombant au prestataire professionnel. Or cette obligation doit être examinée en parallèle avec l’obligation de collaboration du client. Ces deux affaires illustrent bien cette obligation qui incombe au client pour tout projet de développement informatique. En effet, le client ne peut rester passif. Il doit communiquer ses besoins au prestataire, se manifester et interagir pendant la durée du projet, l’interroger si nécessaire et remonter les dysfonctionnements éventuels. Un certain formalisme doit donc être respecté, depuis un contrat reflétant les prestations à réaliser et précisant, le cas échéant, la méthode de développement, en passant par un suivi de projet rigoureux, une phase de livraison, une ou plusieurs phases de tests, et enfin la recette définitive du projet, cela pour limiter les risques de litiges pouvant survenir.

* * * * * * * * * * *

(1) T com. Paris, 8é ch., 7 oct. 2020, Oopet c/ Dual Media Communication

(2) T com. Aix-en-Provence, 16 nov. 2020, Exalt3D c/ My Taylor is Free et Antadis


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2021